Hai luật, hai mục tiêu khác nhau

HIPAA và GDPR đều liên quan đến bảo vệ dữ liệu cá nhân, nhưng ra đời từ hai góc độ khác nhau và giải quyết các vấn đề khác nhau.

HIPAA (Health Insurance Portability and Accountability Act, 1996) được thiết kế để bảo vệ thông tin y tế cá nhân trong hệ thống y tế Mỹ. Phạm vi hẹp nhưng quy định chi tiết: chỉ áp dụng cho một loại dữ liệu cụ thể (PHI) và một loại tổ chức cụ thể (covered entities và business associates).

GDPR (General Data Protection Regulation, có hiệu lực 2018) là khung pháp lý rộng hơn nhiều, áp dụng cho mọi loại dữ liệu cá nhân và mọi tổ chức xử lý dữ liệu của cư dân EU, bất kể lĩnh vực ngành.

Nguồn: HHS.gov, HIPAA Overview (hhs.gov/hipaa/for-professionals); EUR-Lex, GDPR (eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679)


So sánh các điểm chính

HIPAAGDPR
Ban hành1996, Security Rule 20052016, hiệu lực 2018
Phạm vi dữ liệuChỉ PHI (thông tin y tế)Mọi dữ liệu cá nhân
Áp dụng với aiCovered entities và business associatesBất kỳ tổ chức xử lý data của cư dân EU
Căn cứ pháp lýLuật liên bang MỹQuy định EU, áp dụng qua từng quốc gia thành viên
Cơ quan thực thiHHS, Office for Civil Rights (OCR)DPA (Data Protection Authority) từng quốc gia EU
Phạt tối đa$1.9 triệu USD/năm/loại vi phạm€20 triệu hoặc 4% doanh thu toàn cầu, tùy mức nào cao hơn
Yêu cầu consentKhông bắt buộc với PHI dùng cho điều trịThường bắt buộc, tùy legal basis
Quyền xóa dữ liệuKhông có quyền tương đươngQuyền được xóa (Right to Erasure)
Chứng nhậnKhông có chứng nhận chính thứcKhông có chứng nhận chính thức (có ISO 27701 như một tiêu chuẩn hỗ trợ)

Điểm giống nhau quan trọng

Mặc dù xuất phát điểm khác nhau, HIPAA và GDPR có nhiều yêu cầu thực tế trùng nhau:

Kiểm soát truy cập: cả hai yêu cầu giới hạn quyền truy cập dữ liệu theo nguyên tắc minimum necessary (HIPAA) hoặc purpose limitation (GDPR).

Ghi log và audit trail: HIPAA yêu cầu audit log cho mọi truy cập ePHI. GDPR yêu cầu accountability, nghĩa là tổ chức phải chứng minh tuân thủ, trong đó log là bằng chứng quan trọng.

Breach notification: HIPAA yêu cầu thông báo trong 60 ngày. GDPR yêu cầu thông báo cho cơ quan bảo vệ dữ liệu trong 72 giờ và thông báo cho cá nhân bị ảnh hưởng "without undue delay". GDPR nghiêm ngặt hơn đáng kể về thời hạn.

Hợp đồng với bên thứ ba: HIPAA có BAA (Business Associate Agreement). GDPR có Data Processing Agreement (DPA). Cả hai đều yêu cầu hợp đồng xác định trách nhiệm khi chia sẻ dữ liệu với vendor.

Mã hóa: cả hai khuyến nghị mạnh mẽ (hoặc yêu cầu một cách gián tiếp) việc mã hóa dữ liệu cả khi lưu trữ và truyền tải.


HIPAA bảo vệ gì mà GDPR không bảo vệ

Dữ liệu y tế của công dân không phải EU: GDPR chỉ bảo vệ dữ liệu của cư dân EU. Bệnh nhân Mỹ không được GDPR bảo vệ, nhưng được HIPAA bảo vệ.

Quy trình cụ thể cho hệ thống y tế: HIPAA có các quy định chi tiết về cách bệnh viện, phòng khám, và bảo hiểm y tế phải xử lý thông tin. GDPR không có quy định ngành y tế ở mức độ chi tiết tương tự.

Business Associate chain: mô hình covered entity > business associate > subcontractor business associate là đặc trưng của HIPAA, không có bản tương đương trực tiếp trong GDPR (dù GDPR có controller > processor > sub-processor với logic tương tự).


GDPR bảo vệ gì mà HIPAA không bảo vệ

Quyền của cá nhân: GDPR trao cho cá nhân nhiều quyền hơn: quyền truy cập, quyền sửa đổi, quyền xóa, quyền phản đối, quyền chuyển dữ liệu (data portability). HIPAA có quyền truy cập hồ sơ y tế, nhưng không có quyền xóa tương đương.

Dữ liệu ngoài y tế: GDPR bảo vệ mọi dữ liệu cá nhân, kể cả địa chỉ IP, cookie, location data, thông tin tài chính. HIPAA chỉ bảo vệ PHI.

Cookie và tracking: theo GDPR, việc dùng tracking cookies trên website cần có consent. HIPAA không liên quan đến marketing data nếu không kết hợp với PHI.

Phạt cao hơn: mức phạt GDPR tối đa (€20 triệu hoặc 4% doanh thu toàn cầu) thường cao hơn đáng kể so với HIPAA.


Công ty Việt Nam có cần cả hai không

Tùy vào thị trường bạn phục vụ:

Chỉ cần HIPAA: công ty outsourcing hoặc SaaS phục vụ thị trường y tế Mỹ, không có khách hàng EU.

Chỉ cần GDPR: công ty xây phần mềm hoặc xử lý dữ liệu cho khách hàng EU, không liên quan đến hệ thống y tế Mỹ.

Cần cả hai: công ty có khách hàng ở cả Mỹ và EU, hoặc cung cấp dịch vụ y tế phục vụ bệnh nhân ở cả hai khu vực (ví dụ: platform telehealth phục vụ người Mỹ sống tại EU).

Trong trường hợp cần cả hai, nhiều controls có thể dùng chung. Mã hóa ePHI đáp ứng yêu cầu bảo vệ dữ liệu của cả HIPAA lẫn GDPR. Hệ thống audit log và access control cũng tương tự. Chỗ khác biệt nằm ở quy trình breach notification (HIPAA: 60 ngày; GDPR: 72 giờ), hợp đồng với vendor (BAA vs DPA), và quyền của cá nhân (GDPR có nhiều quyền hơn đáng kể).


Nếu đã tuân thủ GDPR, còn cần làm gì thêm cho HIPAA

GDPR compliance cho bạn một nền tảng tốt nhưng không đủ. Các bước bổ sung cụ thể cho HIPAA:

  1. Ký BAA với covered entity: GDPR có DPA nhưng không thay thế BAA theo yêu cầu của HIPAA.
  2. Áp dụng HIPAA Security Rule cho ePHI cụ thể: administrative, physical, và technical safeguards theo yêu cầu riêng của HIPAA, không phải chỉ GDPR.
  3. Chuẩn bị breach notification đúng 60 ngày: quy trình của bạn theo GDPR (72 giờ) nhanh hơn, nhưng đối tượng thông báo và nội dung thông báo theo HIPAA khác.
  4. Xem xét minimum necessary principle: HIPAA yêu cầu chỉ chia sẻ/truy cập lượng PHI tối thiểu cần thiết cho mục đích cụ thể. GDPR có purpose limitation tương tự nhưng với cơ chế khác.

Tài liệu tham khảo:

Thẻ:
HIPAAGDPRSo Sánh FrameworkDữ liệu cá nhân